Instalowanie serwera bramy

Ważne

Ta wersja programu Operations Manager osiągnęła koniec wsparcia technicznego. Zalecamy uaktualnienie do programu Operations Manager 2022.

Serwery bramy są zwykle używane do włączania monitorowania komputerów klienckich, które znajdują się poza granicą zaufania protokołu Kerberos grup zarządzania. Mogą jednak być one również używane w tej samej domenie, jeśli istnieje potrzeba podzielenia środowiska ze względu na segmentację sieci lub mieć "odległych" agentów połączyć się z grupą zarządzania.

Agenci komunikują się bezpośrednio z serwerem bramy, a serwer bramy komunikuje się z co najmniej jednym serwerem zarządzania. Wiele serwerów bramy można umieścić w jednej domenie, aby agenci mogli przejść w tryb failover z jednego do drugiego, jeśli utracą komunikację z bramą podstawową. Podobnie pojedynczy serwer bramy można skonfigurować do przełączania w tryb failover między serwerami zarządzania, tak aby żaden pojedynczy punkt awarii nie istniał w łańcuchu komunikacji. Serwer bramy działa jako serwer proxy komunikacji między serwerem zarządzania agentem, co umożliwia otwarcie tylko jednego portu między sieciami zamiast wielu. Certyfikaty muszą być używane do ustanawiania tożsamości każdego komputera poza granicą zaufania protokołu Kerberos. Bez certyfikatów systemy mogą się łączyć, ale odmawiają komunikacji z powodu niemożność uwierzytelnienia połączenia.

Przed kontynuowaniem upewnij się, że serwer spełnia minimalne wymagania systemowe programu System Center — Operations Manager. Aby uzyskać więcej informacji, zobacz Wymagania systemowe programu System Center Operations Manager.

Uwaga

Jeśli zasady zabezpieczeń ograniczają protokoły TLS 1.0 i 1.1, zainstalowanie nowej roli serwera bramy programu Operations Manager 2016 zakończy się niepowodzeniem, ponieważ nośnik instalacyjny nie zawiera aktualizacji obsługujących protokół TLS 1.2. Jedynym sposobem instalacji tej roli jest włączenie protokołu TLS 1.0 w systemie, zastosowanie pakietu zbiorczego aktualizacji 4, a następnie włączenie protokołu TLS 1.2 w systemie. To ograniczenie nie dotyczy programu Operations Manager w wersji 1801.

Wymagania wstępne

Przed kontynuowaniem instalacji roli bramy w standardowym scenariuszu należy przygotować trzy główne elementy:

1. Certyfikaty muszą być generowane dla bramy i serwerów zarządzania oraz instalowane w magazynach certyfikatów.
   • Jeśli brama i serwery klienckie są używane w scenariuszu grupy roboczej, klienci również potrzebują certyfikatów.
2. Docelowy serwer bramy musi być "Zatwierdzony", aby przed instalacją był bramą w grupie zarządzania.
3. Port 5723 musi być otwarty między bramą a serwerem zarządzania zgodnie z definicją w przewodniku poniżej: Konfigurowanie zapory dla programu Operations Manager

Certyfikaty i rozpoznawanie nazw

1. Wdrożenie serwerów bramy w domenach bez dwukierunkowego zaufania przechodniego lub w grupie roboczej wymaga użycia certyfikatów do uwierzytelniania. Podstawowe serwery zarządzania i trybu failover wymagają jednego oprócz bramy łączącej się z nimi. Te certyfikaty mogą pochodzić z urzędu certyfikacji usług certyfikatów firmy Microsoft lub urzędu certyfikacji innej firmy, jeśli zostały prawidłowo skonfigurowane dla programu Operations Manager. Jeśli potrzebujesz pomocy przy tworzeniu tych certyfikatów, skorzystaj z przewodnika w tym miejscu: Uzyskiwanie certyfikatu do użycia z systemami Windows Server i programem System Center Operations Manager

   Uwaga

   • Serwery bramy, które znajdują się w tej samej domenie lub w granicach zaufania współużytkowanego, co grupa zarządzania nie wymagają certyfikatów.
   • Jeśli brama i agenci znajdują się w grupie roboczej, będziemy potrzebować certyfikatów dla każdego serwera zarządzania, bramy i komputera klienckiego, które będą monitorowane, ponieważ nie ma domeny w grupie roboczej, aby facylitować uwierzytelnianie systemów.

2. Niezawodne rozpoznawanie nazw musi istnieć między komputerami zarządzanymi przez agenta a serwerem bramy oraz między serwerem bramy a serwerem zarządzania. To rozpoznawanie nazw odbywa się zwykle za pośrednictwem systemu DNS. Jeśli jednak nie jest możliwe uzyskanie prawidłowego rozpoznawania nazw za pośrednictwem systemu DNS, może być konieczne ręczne utworzenie wpisów w pliku hostów każdego komputera.

   Ważne

   Rozwiązania nazw do przodu i odwrotnej są sprawdzane przed przekazaniem uwierzytelniania między serwerami. Jeśli podczas sprawdzania adresu IP otrzymamy inną nazwę hosta lub nazwę FQDN, uwierzytelnianie zakończy się niepowodzeniem.

   Porada

   Plik hosts znajduje się w %SystemRoot%\system32\drivers\etc katalogu i zawiera wskazówki dotyczące konfiguracji. Musi to być edytowane w Notatniku lub w innej aplikacji uruchomionej jako administrator.

Rejestrowanie bramy w grupie zarządzania

Aby zapobiec późniejszym problemom, ważne jest zarejestrowanie i zatwierdzenie zamierzonej maszyny bramy jako bramy przed instalacją. W przeciwnym razie ryzykujemy odebranie bramy jako agenta.

Te kroki należy wykonać z serwera zarządzania, najlepiej z serwera podstawowego lub "RMSE".

1. Istnieje plik wykonywalny dołączony do nośnika instalacyjnego programu Operations Manager o nazwie "Microsoft.EnterpriseManagement.GatewayApprovalTool.exe", który można znaleźć na nośniku instalacyjnym w obszarze ..\SupportTools\amd64\.

2. Po zlokalizowaniu skopiuj ten plik wykonywalny i plik konfiguracji o tej samej nazwie do ścieżki instalacji poniżej: %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. Otwórz wiersz polecenia jako administrator i przejdź do katalogu instalacyjnego programu Operations Manager. (np. cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

4. Użyj następującego polecenia, aby zarejestrować bramę jako bramę, aby zastąpić nazwy serwerów własnymi:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   Uwaga

   Jeśli chcesz uniemożliwić serwerowi bramy inicjowanie komunikacji z serwerem zarządzania, dołącz parametr /ManagementServerInitiatesConnection=True , jak użyto w poniższym poleceniu. W przeciwnym razie domyślnie komunikacja zostanie zainicjowana z poziomu samej bramy. Jest to przydatne, jeśli chcesz uniemożliwić dostęp przychodzący do domeny podstawowej z sieci, w której znajduje się brama.

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. Jeśli zatwierdzenie zakończy się pomyślnie, zostanie zwrócony komunikat The approval of server <GatewayFQDN> completed successfully. .

6. Jeśli musisz usunąć serwer bramy z grupy zarządzania, uruchom to samo polecenie, ale zastąp /Action=Create flagę /Action=Delete .

7. Otwórz widok Monitorowanie w konsoli Operacje. Wybierz widok Odnalezione zapasy, aby sprawdzić, czy występuje serwer bramy. Powinna być również widoczna w obszarze Administracja > Zarządzanie urządzeniami > Serwery zarządzania.

Proces instalacji

Po zarejestrowaniu zamierzonego serwera bramy w grupie zarządzania należy zainstalować rolę w nowej bramie.

Uwaga

Instalacja nie powiedzie się podczas uruchamiania Instalatora Windows (na przykład instalowania serwera bramy przez dwukrotne kliknięcie MOMGateway.msi), jeśli lokalne zasady zabezpieczeń "Kontrola konta użytkownika: Uruchom wszystkich administratorów w trybie zatwierdzania Administracja" jest włączona.

Porada

Jeśli podczas instalacji wystąpią problemy, dzienniki znajdują się tutaj: %LocalAppData%\SCOM\Logs

Instalowanie przy użyciu graficznego interfejsu użytkownika

Wykonaj następujące kroki, aby zainstalować serwer bramy:

1. Zaloguj się do serwera bramy przy użyciu uprawnień administratora.
2. Z nośnika instalacyjnego programu Operations Manager uruchom plik Setup.exe.
3. W obszarze Instalacja wybierz link Serwer zarządzania bramą (a nie duży link "Zainstaluj" w dolnej części okna).
4. Na ekranie powitalnym wybierz pozycję Dalej.
5. Na stronie Folder docelowy zaakceptuj wartość domyślną lub wybierz pozycję Zmień , aby wybrać inny katalog instalacyjny, a następnie wybierz przycisk Dalej.
6. Na stronie Konfiguracja grupy zarządzania wprowadź nazwę docelowej grupy zarządzania w polu Nazwa grupy zarządzania , wprowadź docelową nazwę serwera zarządzania w polu Serwer zarządzania, sprawdź, czy pole Port serwera zarządzania ma wartość 5723, a następnie wybierz przycisk Dalej.
7. Na stronie Konto działania bramy wybierz opcję Konto systemu lokalnego , chyba że używasz konta działania bramy opartej na domenie lub komputerze lokalnym. Wybierz opcję Dalej.
8. Na stronie Microsoft Update opcjonalnie wskaż, czy chcesz użyć usługi Microsoft Update, a następnie wybierz przycisk Dalej. (Zazwyczaj ten wybór powinien mieć wartość Nie).
9. Na stronie Gotowe do instalacji wybierz pozycję Zainstaluj.
10. Na stronie Kończenie wybierz pozycję Zakończ.

Instalowanie przy użyciu wiersza polecenia

Wykonaj następujące kroki, aby zainstalować serwer bramy z poziomu wiersza polecenia:

1. Zaloguj się na serwerze bramy przy użyciu uprawnień administratora.
2. Otwórz okno wiersza polecenia, korzystając z opcji Uruchom jako administrator.
3. Uruchom następujące polecenie, gdzie ścieżka\to\Instalator jest ścieżką nośnika instalacyjnego. MOMGateway.msi można znaleźć na nośniku instalacyjnym programu Operations Manager w obszarze ..\gateway\amd64\.

Porada

Znaki ^ umożliwiają wprowadzanie wielu wierszy w oknie konsoli i łatwiejsze edytowanie, jeśli nie działa to w środowisku, usuń znaki ^ i zmodyfikuj polecenie w jednym wierszu.

Jeśli używasz systemu lokalnego jako konta działania:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Jeśli używasz użytkownika domeny jako konta działania:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Ważne

Hasło konta działania nie może zawierać "niedozwolonych" znaków w wierszu polecenia, takich jak: & < > ( ) @ ^ | ". Jeśli tak się stanie, instalacja zakończy się niepowodzeniem, ponieważ nie może przeanalizować ciągu, zmienić hasło, aby nie zawierało tych znaków, a następnie opakować je w cudzysłowy w samym poleceniu.

Importowanie certyfikatów za pomocą narzędzia MOMCertImport.exe

Wykonaj tę operację na każdym serwerze bramy i serwerze zarządzania wraz z komputerami klienckimi, które mają być zarządzane przez agenta w grupie roboczej.

1. Przed kontynuowaniem upewnij się, że certyfikaty są zainstalowane
2. Znajdź plik MOMCertImport.exe znajdujący się na nośniku instalacyjnym w obszarze ..\SupportTools\amd64\
3. Skopiuj ten plik do katalogu głównego serwera docelowego lub do katalogu instalacyjnego programu Operations Manager
   • Na przykład: %ProgramFiles%\Microsoft System Center\Operations Manager\Server).
4. Otwórz wiersz polecenia jako administrator i zmień katalog na katalog, w którym znajduje się MOMCertImport.exe.
   • Na przykład: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. Następnie uruchom polecenie MOMCertImport.exe /SubjectName subjectNameFQDN, gdzie "subjectNameFQDN" jest zdefiniowanym podmiotem w certyfikacie.
   • Można również uruchomić MOMCertImport.exe bez żadnych argumentów, aby umożliwić wybranie certyfikatu w oknie podręcznym pokazującym certyfikaty w magazynie osobistym komputera lokalnego.
6. W przypadku powodzenia usługa Microsoft Monitoring Agent zostanie ponownie uruchomiona, a identyfikator zdarzenia 20053 zostanie zarejestrowany w dzienniku zdarzeń programu Operations Manager. Jeśli ten identyfikator zdarzenia nie jest obecny, sprawdź szczegóły jednego z tych identyfikatorów dla wszelkich problemów i odpowiednio wprowadź poprawki: 20049,20050,20052,20066,20069,20077

Porada

Po pomyślnym zaimportowaniu certyfikatu zobaczysz dublowaną wersję odcisku palca w rejestrze tutaj: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Konfigurowanie serwerów bramy na potrzeby trybu failover między serwerami zarządzania

Domyślnie serwery bramy komunikują się tylko z jednym serwerem zarządzania— ich serwerem podstawowym. Jeśli to połączenie zostanie utracone, brama i wszystkie dołączone agenty są wyświetlane jako szare w konsoli i nie są monitorowane. Jeśli masz wiele serwerów zarządzania, możemy temu zapobiec, konfigurując serwery zarządzania, do których brama może przejść w tryb failover do momentu ponownego udostępnienia podstawowego. Aby skonfigurować tryb failover:

Używamy polecenia cmdlet Set-SCOMParentManagementServer w powłoce programu Operations Manager, jak pokazano w poniższym przykładzie, aby skonfigurować serwer bramy do przełączania w tryb failover na wiele serwerów zarządzania. Polecenia można uruchomić z dowolnej powłoki poleceń w grupie zarządzania.

1. Zaloguj się do serwera zarządzania przy użyciu konta, które jest członkiem roli Administratorzy programu Operations Manager.

2. W menu Start uruchom powłoka programu Operations Manager w folderze "Microsoft System Center".

3. W konsoli uruchom następujące polecenia:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   Uwaga

   Nie można ustawić serwera trybu failover na taki sam jak serwer podstawowy bez zmiany serwera podstawowego w tym samym czasie lub najpierw. Jeśli chcesz zmienić bazę podstawową i ustawić ją na pomocniczą, użyj następujących poleceń:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

Łączenie wielu serwerów bramy

Chociaż rzadko, czasami konieczne jest łączenie wielu bram w celu monitorowania wielu niezaufanych granic. W tej sekcji opisano sposób łączenia wielu bram.

Uwaga

• Należy zainstalować jedną bramę naraz i sprawdzić, czy każda nowo zainstalowana brama jest poprawnie skonfigurowana i wyświetlana jako w dobrej kondycji w konsoli programu SCOM przed dodaniem kolejnej bramy w łańcuchu.
• Po dodaniu końca łańcucha bram do tej samej puli zasobów nie należy konfigurować trybu failover w innym łańcuchu przy użyciu polecenia Set-SCOMParentManagementServer . W takim scenariuszu pula nie działa zgodnie z oczekiwaniami. Aby konfiguracja trybu failover i pula zasobów działała razem, koniec bramy łańcucha powinien mieć ten sam element nadrzędny.

Aby skonfigurować łańcuch bramy, używamy narzędzia Microsoft.EnterpriseManagement.GatewayApprovalTool.exe tak samo jak w przypadku początkowego serwera bramy. Tym razem jednak musimy ustawić wartość "ManagementServerName" jako nadrzędny serwer bramy w łańcuchu. Jeśli na przykład gw02 zostanie nawiązane połączenie z bramą GW01, w tym scenariuszu wartość GW01 to "ManagementServer".

1. Zaloguj się na jednym z serwerów zarządzania, na których skonfigurowano już narzędzie GatewayApprovalTool.

2. Otwórz wiersz polecenia jako administrator i przejdź do katalogu, w którym zostało zapisane narzędzie

3. Następnie uruchom poniższe polecenie, aby zatwierdzić serwer bramy podrzędnej, zapewniając zastąpienie nazw serwerów własnymi:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. Zainstaluj rolę bramy na nowym serwerze.

5. Skonfiguruj certyfikaty między bramą GW01 i GW02 w taki sam sposób, jak certyfikaty między bramą a serwerem zarządzania. Usługa kondycji może załadować tylko jeden certyfikat i używać go. W związku z tym ten sam certyfikat jest używany przez nadrzędną i podrzędną bramę w łańcuchu.

Następne kroki

Aby zrozumieć sekwencję i kroki instalowania ról serwera programu Operations Manager na wielu serwerach w grupie zarządzania, zobacz Rozproszone wdrażanie programu Operations Manager.